Windows 10: Jak współdzielić połączenie Pulse Secure VPN (NDIS Light Weight Filter) z maszynami wirtualnymi?

0

Mam hosta Windows 10 połączonego z przewodowym Ethernetem. Jego interfejs Ethernet jest połączony z interfejsem Hyper-V vEthernet. Zarówno host, jak i gość VM są konfigurowane za pomocą DHCP w sieci domowej i oba uzyskują łączność z Internetem.

Po włączeniu połączenia Pulse Secure VPN (wersja 5.3.3) ruch hosta jest tunelowany, ale nie ruch gościa (gość nadal korzysta z bazowego połączenia niezwiązanego z VPN). Gość korzysta z systemu Ubuntu 16.04.

Jak mogę obu przejść przez tunel?

Wiem na podstawie artykułu z bazy wiedzy, że oprogramowanie wykorzystuje lekki filtr na urządzeniach fizycznych. Czy istnieje ograniczenie tego typu sterownika filtra, które utrudniłoby korzystanie z mostów?

Może istnieje obejście umożliwiające udostępnienie tunelowanego połączenia?

init_js
źródło

Odpowiedzi:

1

To konkretne oprogramowanie VPN po ustanowieniu połączenia skonfiguruje nowy wirtualny adapter VPN na hoście, skonfigurowany na IP / 32 (np 10.1.1.17/32.). W przypadku pomyślnego połączenia zmodyfikuje również tabelę routingu hosta, wprowadzając nowy preferencyjny domyślny wpis trasy bramy, powodując, że wychodzący ruch hosta przechodzi przez interfejs VPN.

Ruch przepływający przez most Ethernet (fizyczny interfejs Ethernet + wirtualny Ethernet VM) nie przepływa jednak przez tę tablicę routingu, więc przepływa w ten sam sposób, niezależnie od preferencyjnej bramy VPN. to wyjaśnia, dlaczego nie mogę zmusić ruchu gości VM do przejścia przez tunel. Przynajmniej tak rozumiem.

Moja kolejna próba polegała na dodaniu kolejnego mostu między maszynami wirtualnymi a wirtualnym adapterem VPN **, aby móc z maszyn wirtualnych mieć również trasę do tej domyślnej bramy 10.1.1.17/32. Jednak ten konkretny wirtualny adapter VPN ** jest wybredny i po prostu odmawia pracy, jeśli zostanie przeniesiony do mostu. Ponadto w systemie Windows 10, o ile mogę stwierdzić, może istnieć tylko jedno urządzenie mostkowe, więc i tak nie byłaby to świetna opcja.

Uświadomiwszy sobie, że to problem z L3, próbowałem skonfigurować hosta systemu Windows 10 tak, aby trasował między dwiema podsieciami (maszyny wirtualne <=> VPN). W końcu host ma przypisany adres zarówno w podsieci VM, jak 192.168.4.0/24i podsieci VPN (jedyny taki adres). Wygląda jednak na to, że konfiguracja systemu Windows 10 jako faktycznego routera jest koszmarem (potrzebujesz wersji Server).

Skończyło się na użyciu oprogramowania NAT do rozwiązania problemu. Okazuje się, że Windows 10 może tworzyć natywne NAT (nie jest wymagana dodatkowa usługa ani oprogramowanie). Istnieje dokładny limit 1 interfejsu NAT. Aby umożliwić ruch VM do przepływać przez VPN, daję im NIC na tym NAT podsieci i Windows dba o przekierowanie, że ruch z głównej tabeli, która ma przejść przez VPN. W ten sposób mogę również pozbyć się niektórych moich mostów, ponieważ gdy sieć VPN nie działa (inaczej rozłączona), ruch automatycznie przekierowuje się na dowolne inne fizyczne połączenie, jakie mam (Wi-Fi lub przewodowe)!

Opublikowałem tam kroki, aby skonfigurować NAT:

https://serverfault.com/questions/911578/windows-10-pro-as-a-nat-between-two-interfaces

** Nazywa się to „Pulse Secure - wirtualna karta sieci Juniper”

init_js
źródło